11:23
18/1/2011

15-tego lipca 2010r białoruska firma antywirusowa odkryła malware, który wielu uważa za przełomowy w dziejach IT. Raz, że wycelowany został w ściśle określoną instalację komputerową (sterowniki PLC Siemensa wykorzystywane w wirówkach do wzbogacania uranu); dwa, że korzystał jednocześnie z 5 exploitów, wśród których 4 były 0day’ami. Jako jedni z pierwszych w Polsce, opisaliśmy go wtedy jako nowy sposób ataku na wszystkie Windowsy — teraz, pół roku później, wracamy do Stuxneta i podsumowujemy to, co wiemy na jego temat.

Stuxnet

Kto stworzył Stuxneta?

Pojawiły się 2 przeciwstawne teorie. Forbes przedstawia dowody, że za Stuxnetem stoją Chińczycy i Finowie — z kolei New York Times twierdzi, że Stuxnet to efekt współpracy pomiędzy wywiadem USA i Izrealem — z czym oczywiście kategorycznie nie zgadza się dziennikarz Forbesa, oskarżając kolegów z NYT o brak dowodów i oparcie całości swojego artykułu na wnioskach płynących z “głupich uśmiechów Irańczyków”.

Wojskowe centrum dowodzenia

Wojskowe centrum dowodzenia

Internauci przyglądający się sprawie, też starają się jak mogą, aby namierzyć twórców Stuxneta — i typują, że współautorem może być Jason Wright, znany nam z historii dotyczącej umieszczenia rzekomego backdoora w OpenBSD. Z NYT wiemy, że amerykańska tajna placówka wojskowa Idaho National Laboratory prowadziła badania nad Simensowymi systemami SCADA, a z CV Jasona wiemy, że przedstawia się jako

cyber security researcher at the Idaho National Laboratory working with SCADA and Process Control system vendors to secure critical infrastructure assets

Co za przypadek! To już drugi projekt, nad którym pracuje Jason i co do którego pojawiają się poważne zastrzeżenia…

Kod Stuxneta to kicha!

Pod kierunkiem Stuxneta kierowane są nie tylko ochy i achy, ale również słowa krytyki. Firma Root Labs twierdzi, że Stuxnet jest żenujący — chodzi o jakość kodu, a raczej skorzystanie z wyłącznie bazowych technik omijania antywirusów i innych programistycznych potworków, które wcale a wcale nie pokazują kunsztu Jamesa Bonda (a wg Root Labs amerykański wywiad powinien cechować się porównywalną do tego superszpiega doskonałością!).

Root Labs nie bierze jednak pod uwagę tego, że autorzy Stuxneta specjalnie nie zdradzili swoich zdolności. Widzę tu dwa powody

  • Twórcy Stuxneta wiedzieli, iż odkrycie ich robaka to i tak kwestia czasu. Nie zdecydowali się na użycie bardziej wykwintnych technik zaciemnienie kodu, bo zdawali sobie sprawę z tego, że i tak można je ominąć, a jedyne co dzięki nim zyskają, to kilka dodatkowych dni “w ukryciu”. Widać te kilka dni w ukryciu nie było wartych dodatkowych tygodni spędzonych nad implementacją bardziej zaawansowanych zabezpieczeń przed debuggingiem.
  • Twórcy Stuxneta celowo nie skorzystali z najnowszych technik, żeby nie pozostawiać “cyfrowego odcisku” w kodzie. Liczba osób, które opanowały najnowsze metody zaciemniania kodu jest ograniczona. Brak zaawansowanych technik programistycznych w kodzie Stuxneta sprawia, że o jego stworzenie podejrzewany może być prawie każdy.

 

Jak widać, historia Stuxneta nadaje się na film. W tle mamy bomby atomowe, współpracę wywiadowczą pomiędzy różnymi państwami, tajemniczych programistów-hackerów i …mnóstwo FUD-u. Prawdy o Stuxnecie pewnie szybko nie poznamy, ale może WikiLeaks przygotuje niebawem jakąś publikację? :-)

Przeczytaj także:

42 komentarzy

Dodaj komentarz
  1. […] 18.01.2011 Nasz artykuł podsumowujący wszystko, co wiemy na temat robaka Stuxnet. […]

  2. A po co zaciemniać, skoro i tak zadziałał? Może nie tyle chcą uniknąć “cyfrowego odcisku palca”, co mają niskie zdanie o systemach antywirusowych? :)

  3. “współautorem może być Jason Wright,” < link do poprawy :)

  4. O! ad-block nie zablokował mi niebezpiecznikowego banera z reklamą… ;-)
    Fajnie wytłumaczone działanie krok po kroku. Ciekawy akcent ma ten Mikko.

  5. Wikileaks wkrótce opublikuje raporty pokazujące, że stuxnet stworzyło PO, abyśmy byli jedyną zieloną wyspą na świecie. :)))

  6. Odnośnie:
    “kilka dni w ukryciu nie było wartych dodatkowych tygodni” to coś, co w np. odnośnie urządzeń zabezpieczających, poziomu radiacji itp w energetyce jądrowej określane jest taki fajnym terminem: ALARP. Być może własnie ta zasada “reasonalby practiceable” była tu wzięta pod uwagę…

  7. “Brak zaawansowanych technik programistycznych w kodzie Stuxneta sprawia, że o jego stworzenie podejrzewany może być prawie każdy.”

    Autorzy mieli dobre pojęcie o systemach przemysłowych Siemensa i celowali w sabotowanie pracy wirówek. Myślę, że jednak nie każdy.

  8. Czy umiejętności potrzebne do napisania genialnego wirusa ma rzeczywiście tyle osób, że można je policzyć na palcach ? Zawsze jak w filmie w którym przewija sie “genialny wirus” ktos mówi “to na pewno robota XYZ, tylko on mógl napisac tak genialnego wirusa”.
    Nie wydaje mi się.

  9. Kod prosiaka też był żenujący a i tak wszyscy się nim zachwycali …

  10. Jeśli faktycznie ten robal krążył po komputerach od roku, zanim został wykryty, do tego używając 4 0day’ów – chylę czoła przed twórcami. Jakie trzeba mieć zaplecze i informacje, żeby 4 poważne luki wcisnąć do malware i liczyć na to, że przez rok czasu nie zostaną załatane ? No dobra, MS pewnych luk nie łata latami, ale w takich miejscach jak elektrownie atomowe czy inne ‘delikatne’ fabryki systemy powinny być okopane, za ogniomurkami i pod prądem – o łataniu wszystkiego co się da nie wspominając.

    Chińczycy i Finowie mieliby stać za tym robalem który został prawdopodobnie wymierzony w irański program atomowy ? To chyba USA od lat kombinuje, jak im nogę podłożyć :P

  11. Huh? To nic nie mówisz o pisance w kodzie, Esterze, która miała rzucić podejrzenia na Izraelczyków? Czy już sama wiadomość o istnieniu takiej zmiennej to ściema?

  12. >Twórcy Stuxneta wiedzieli, iż odkrycie ich robaka to i tak kwestia czasu.

    a moze nie tyle wiedzieli, co wlasnie o to chodzilo zeby sie publika dowiedziala?

  13. Wikileaks o Stuxnecie wskazujace na mozliwe powiazania z Berlinem.
    http://www.guardian.co.uk/world/2011/jan/18/wikileaks-us-embassy-cable-iran-nuclear

  14. stuxneta stworzyli kosmici ;)

  15. Sergi. Rzucać podejrzenia na Izraelczyków? Zważywszy, że to motor sankcji na Iran, lobbysta prowojenny w USA i autor zamachów na irańskich naukowców, to niemal pewnik. Ewentaulnie USA, ale to na jedno wychodzi.

  16. dla uzupelninia, wirus nie tylko zmniejszal produkcje wzogaconego uranu ale USZKADZAL wirowki poprzez dwa naprzemiene rozkaz obnizania i podnoszenia (poza dopuszczalna) predkosci obrotowej wirowek, wg IAEA musial Iran wymienic 1 z 8 tys wirowek…. w 2009/10

  17. to przecież jasne, że stuxa napisali spece w siemensie, żeby się odkuć w trudnych czasach kryzysu i natrzepać kasy na serwisie/wymianie irańskich wirówek

    ;))

  18. a może stuxnet to tylko zasłona napisana po to aby była znaleziona
    a drugi robak w ciszy robi swoje jak to mówią służy wolności
    Po tekście o wirtualizacji i o tym jaki jest dobry a oni są źli temu panu
    odwiedzalność skoczyła o 1200 %
    jakie to niskie kolego w ten sposób pracy w CIA , GRU ,FBIAJ , KGB nie znajdziesz
    Ja myślę że stuxnet był chujowy bo nie miał explict w konstruktorze
    a jego destruktor nie był wirtualny !!!

  19. […] pracę elektrowni atomowych, rafinerii, lotnisk etc. są podatne na ataki wiemy m.in. dzięki robakowi Stuxnet. W ciągu ostatnich kilku dni, niezależne firmy opublikowały informacje o kilkunastu błędach […]

  20. […] ton politycznych żali; że skoro nikt nie wstawił się z Iranem, kiedy USA z Izraelem stworzyły Stuxneta, i skoro nikt nie porusza tematów takich jak HAARP i Echelon, to nikt nie powinien też […]

  21. […] rzeczywiście, nie sposób nie porównać “Stars” z robakiem Stuxnet, którego w zeszłym roku odkryto w systemach komputerowych reaktora atomowego Bushehr. Według […]

  22. […] Czy zawsze jesteśmy w stanie dokładnie poznać prawdziwe źródło ataku? […]

  23. […] wizualizacja na weekend. Temat to Stuxnet, czyli złośliwe oprogramowanie, które znaleziono w systemach SCADA elektrowni atomowej w […]

  24. […] PLC, takie jak te, które stosowano w Iranie w elektrowniach atomowych zaatakowanych przez Stuxnet. I dletego jeden spec od bezpieczeństwa twierdzi, że niebawem źli hackerzy będą mogli […]

  25. […] To nie pierwszy raz, kiedy Iran jest powiązany z fałszerstwami certyfikatów. W marcu na jaw wyszło włamanie do Comodo w wyniku którego sfałszowano 7 certyfikatów największych internetowych serwisów. Czyżby Iran mścił się za Stuxneta? […]

  26. […] (nie)bezpieczeństwa przepompowni wody w Oslo i głośne ostatnio ataki na systemy SCADA (por. Stuxnet) pokazują, że przed osobami czuwającymi nad bezpieczeństwem systemów przemysłowych jeszcze […]

  27. […] Wszystko wskazuje na to, że Stuxnet też był “rządową” zabawką […]

  28. […] nie służy do sabotażu i w przeciwieństwie do Stuxneta, którego zadaniem było zniszczyć irański program jądrowy, nie próbuje manipulować systemami SCADA. Duqu jest nastawiony na zwykłe wykradanie informacji, […]

  29. […] funkcje w które mógłby zostać wysposażony Stuxnet mają być zaprezentowane na konferencji MalCon, na której spotykają się nie badacze […]

  30. […] zawiera 20 razy więcej kodu niż Stuxnet, który 2 lata temu odkryto w Irańskim ośrodku wzbogacania uranu. Zadaniem 20MB Flame jest […]

  31. […] ujawnia, że USA wspólnie z Izraelem stworzyły Stuxneta — robaka, którego zadaniem było włamać się do Irańskiej elektrowni i sparaliżować jej pracę. Współpraca pomiędzy Ameryką i Izraelem dała światu […]

  32. […] Stuxneta, robaka który unieszkodliwił elektrownię jądrową w Iranie i do stworzenia którego przyznało się USA i Izrazel? A pamiętacie Duqu? Malware, którego […]

  33. […] atomowej Natanz. Elektrownie tą znamy głównie z tego, że skutecznie zaatakował ją robak Stuxnet, który — wiele na to wskazuje — jest “cyberbronią” stworzoną przez USA i […]

  34. […] Ale infekcje w Polsce są mało prawdopodobne, trojan zdaje się być pisany na obszar Środkowego Wschodu i skupia się na wykradaniu danych związanych z tamtejszymi firmami finansowymi. Poza tym, najprawdopodobniej Gauss nie zawiera żadnych exploitów 0day, a do infekcji wykorzystuje tą samą podatność w LNK co Stuxnet. […]

  35. […] firmy, z drugiej strony Stuxnet, który zaatakował infrastrukturę irańskiej elektrowni i wykorzystał w tym celu 4 0day’e oraz najprawdopodobniej był wynikiem współpracy pomiędzy amerykańskim i izraelskim wywiadem. […]

  36. […] jest nie tak. A przechwycenie próbki i poddanie jej analizie z reguły zdradza wiele informacji zarówno o zamiarach jak i o tożsamości […]

  37. […] oraz kopiowania technologii. Nie służą one jednak tylko elektronicznemu szpiegostwu. Niedawny przykład z Irańską placówką w Natanz (Stuxnet) pokazuje, że finał działań w cyberprzestrzeni urzeczywistnia się w świecie realnym […]

  38. […] się ciekawy wątek w historii Stuxneta, złośliwego robaka autorstwa CIA i Mossadu, który sparaliżował infrastrukturę irańskiej elektrowni nuklearnej. Jak wyjawił Eugeniusz Kasperski, Stuxnet zainfekował także […]

  39. […] oprogramowanie potrafią wykryć dopiero po kilku latach od infekcji, jak to miało miejsce m.in. w przypadku Stuxnetu, a czasem wręcz świadomie nie chronią przed pewnymi przypadkami znanych od lat wirusów. […]

  40. […] w październiku tego samego roku (to długo, ale Irańczycy nie pobili rekordu Amerykanów, którzy zainfekowali ich elektrownie atomową Stuxnetem, znacznie dłużej pozostającym w ukryciu). Oficjalny komunikat marynarki informuje, […]

  41. […] przeciwieństwie do kampanii typu Stuxnet, brak śladów korzystania z 0day’ów… ale grupa i tak wykradła, wedle szacunków […]

  42. […] krytyczną na świecie! Spustoszenie wykonane w Irańskiej elektrowni atomowej przez amerykańsko-izraelskie złośliwe oprogramowanie o nazwie Stuxnet nastąpiło dopiero w 2010 roku, czyli 2 lata […]

Odpowiadasz na komentarz Torwald

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: